26.07.2016, 11:58
[Aby zobaczyć linki, zarejestruj się tutaj]
Pierwsza informacja po polsku...innych póki ci nie znalazłem...na temat sporej podatności w Windows, która pozwala obejść mechanizm kontroli konta użytkownika (UAC). Oddam głos autorowi z DP
Cytat:Mechanizm User Access Control (UAC, po polsku Kontrola konta użytkownika) w Windowsie jest rozwiązaniem mającym poprawiać bezpieczeństwo systemu, zmuszając aplikacje do wyczekiwania na autoryzację ich uruchomienia przez administratora. Teraz jednak okazuje się, że UAC wcale nie służy bezpieczeństwu. Coś takiego od Microsoftu usłyszeli badacze, którzy zgłosili firmie odkrytą przez siebie lukę w Windowsie 10, dotyczącą właśnie tego mechanizmu. Łatki więc nie będzie. Przyjrzyjmy się więc o co chodzi, co tym razem dolega zabezpieczeniom najnowszych „okienek”.
Na łamach swojego bloga enigma0x3 Matt Nelson i Matt Graeber opisują bardzo ciekawą metodę obejścia User Account Control. Takich publicznie znanych metod obejścia jest już kilka, ale ta ma jedną zaletę – nie wymaga wstrzykiwania żadnego kodu ani wykorzystania uprzywilejowanych metod kopiowania plików. Zamiast tego można skorzystać z działającego w Windowsie zadania, które uruchomione jest z najwyższymi możliwymi przywilejami.
Tym zadaniem jest aktywność narzędzia Disk Cleanup (Oczyszczanie dysku), służącego do usuwania śmieci z nośników pamięci masowej. Zadanie działa pod nazwą SilentCleanup i opisane jest jako „Zadanie konserwacji używane przez system do uruchamiania dyskretnego automatycznego oczyszczania dysku, gdy zaczyna brakować miejsca”. Wszystko fajnie, tylko okazuje się, że przy domyślnych ustawieniach systemu uruchomić mogą je zwykli użytkownicy, ono samo tymczasem działa z najwyższymi uprawnieniami. I faktycznie, uruchomiony przez o zadanie proces cleanmgr.exe automatycznie ma w systemie najwyższe uprawnienia.
To jednak nie wszystko, co się dzieje. Jak odkryli Nelson i Graeber, uruchomienie procesu wiąże się też ze skopiowaniem pewnych plików do C:\Users\nazwauzytkownika\AppData\Local\Temp. Wśród nich jest plik wykonywalny DismHost.exe oraz spora liczba plików DLL. Narzędzie oczyszczania dysku uruchamia następnie DismHost.exe, które zaczyna ładować pliki DLL jeden po drugim, kończąc na pliku LogProvider.dll.
Atak jest całkiem elegancki. Stworzony przez badaczy szkodnik monitoruje lokalny system plików pod kątem utworzenia nowych folderów we wspomnianym miejscu i gdy to nastąpi, podmienia plik LogProvider.dll jego uzłośliwioną wersją. Przejęty DLL zostaje załadowany, pozwalając uruchomić wrogi kod z najwyższymi uprawnieniami. Jako że wszystko to dzieje się w ramach zwykłego konta użytkownika, User Access Control nic z tym nie robi.
Zamiast sprzedać swoje odkrycie na czarnym rynku, odpowiedzialni odkrywcy zgłosili je 20 lipca do Microsoft Security Response Center. Jak pisze Nelson, w odpowiedzi usłyszeli, że to nie jest luka bezpieczeństwa w sensie używanym przez Microsoft. Łatki więc nie będzie.
Co więc robić? Użytkownikom Windowsa 10 można polecić jedynie wejście do Panelu Sterowania, wybranie Narzędzi Administracyjnych, a tam Harmonogramu zadań. Tam w drzewku zadań systemowych należy wyszukać gałąź Microsoft > Windows > DiskCleanup, a następnie z menu w panelu po prawej stronie kliknąć przycisk Wyłącz.
[Aby zobaczyć linki, zarejestruj się tutaj]
Oryginalny artykuł badaczy na enigma0x3
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"